Rendre les fournisseurs de logiciel responsables devant la justice en cas de faille exploitée par les hackers, telle est l'idée phare de la nouvelle feuille de route de la cybersécurité, publiée par la Maison Blanche. Une stratégie qui vise à « rééquilibrer la responsabilité de protéger le cyberespace » en allégeant le poids qui pèse actuellement sur les individus, les petites entreprises et les administrations publiques locales.
« La stratégie du président repense fondamentalement le contrat social américain autour de la cybersécurité », a affirmé Kemba Walden, la directrice de la cybersécurité nationale (un poste créé il y a deux ans), lors d'une conférence de presse. « Nous attendons davantage de ceux qui possèdent et opèrent nos infrastructures critiques. »
Les entreprises du logiciel dans la ligne de mire
Ce document témoigne pour l'heure simplement d'une orientation stratégique et n'a pas force de loi. Il indique toutefois que l'administration Biden entend bien passer de nouvelles régulations visant à contraindre les entreprises prestataires d'infrastructures web jugées critiques (ce qui pourrait par exemple inclure les géants de l'informatique en nuage) à se plier à un certain nombre de standards en matière de cybersécurité. Mais aussi à sanctionner, suite à une cyberattaque, celles qui ne rendent pas leur code suffisamment sécurisé.
« Les entreprises du logiciel doivent avoir la liberté d'innover, mais elles doivent également être tenues responsables légalement lorsqu'elles manquent à leur devoir de protection vis-à-vis des consommateurs, des entreprises et des fournisseurs d'infrastructures critiques », lit-on ainsi dans le document. « Protéger les données et assurer la fiabilité des systèmes critiques doit être la responsabilité de ceux qui possèdent et opèrent les dispositifs hébergeant nos données. »
Une fausse bonne idée ?
Cette idée divise toutefois les experts. Pour certains, elle apporte une correction bienvenue aux lois du marché qui tirent les standards de sécurité vers le bas. « Le marché n'incite pas les fournisseurs de logiciel à optimiser la sécurité de leurs produits (car trop coûteux, pas assez rapide à déployer, etc.). Ils sont ainsi naturellement conduits à y laisser des failles en matière de cybersécurité.
« Ce type de régulations, avec en prime un secteur public qui requièrerait davantage de mesures en matière de sécurité de la part des sociétés privées contractant avec lui, leur donnerait une vraie incitation, seule capable de faire bouger les choses », affirme ainsi Jordan Rae Kelly, qui dirige les activités sur le continent américain de FTI consulting, un cabinet de conseil international, et a travaillé sur la précédente feuille de route de cybersécurité produite par l'administration Trump.
Joseph Steinberg, expert en cybersécurité et auteur du livre La cybersécurité pour les nuls, s'inquiète quant à lui de l'impact négatif qu'une telle mesure pourrait avoir pour l'innovation et la concurrence.
« Un tel transfert de responsabilité compliquerait considérablement la levée de fonds pour de nombreuses jeunes pousses, et découragerait les entrepreneurs d'innover dans certains domaines. Une jeune pousse pourrait faire faillite car contrainte d'allouer des ressources importantes à un procès intenté contre elle suite à une faille sécuritaire, même si elle finissait par l'emporter.
D'autant que les vulnérabilités d'un logiciel n'existent pas en elles-mêmes : elles deviennent souvent exploitables une fois le logiciel déployé dans un environnement précis, et suite à d'autres déficiences, comme un système de sécurité mal configuré ou une erreur humaine. »
D'autres professionnels de l'industrie s'interrogent sur le caractère pratique d'une telle évolution. « D'un point de vue conceptuel, l'idée est bonne, mais beaucoup de logiciels sont d'origine open source, avec un code écrit non pas par les employés d'une entreprise mais par des individus. Cela signifie-t-il que l'on va faire porter la responsabilité d'une cyberattaque sur Johnny qui vit en Slovénie et a oublié un bug dans son code ? C'est peu réaliste. En revanche, cela pourrait mettre davantage de pression sur les entreprises des nouvelles technologies pour qu'elles fournissent de meilleures polices de cyberassurance », estime Ralph Echemendia, expert cyber et hacker éthique.
Vers un long chemin de croix législatif ?
La feuille de route propose également d'étendre les mesures de sécurité requises dans certains secteurs jugés critiques, où une cyberattaque pourrait s'avérer particulièrement dévastatrice, comme l'énergie, l'eau et la santé. Mais aussi de déployer davantage de ressources pour lutter contre les transactions illégales en cryptomonnaies, afin de mettre des bâtons dans les roues des attaques de rançongiciels, qui s'appuient principalement sur ce mode de règlement plus difficile à tracer pour les autorités. Ou encore d'investir dans la recherche de pointe sur la cybersécurité afin d'en tirer des bénéfices sur le long terme.
Certaines composantes de cette stratégie peuvent être accomplies sans changements législatifs, selon Jordan Rae Kelly : « Par exemple, l'administration Biden pourrait choisir de n'accorder des contrats publics qu'aux entreprises du logiciel respectant certains critères de sécurité, ou encore d'employer les autorités de régulation de manière plus agressive. »
L'administration Biden a du reste déjà employé cette stratégie par le passé. Ainsi, après qu'un rançongiciel russe a paralysé l'opérateur d'oléoducs Colonial Pipeline, la Maison Blanche a eu recours à l'autorité dont dispose la Transportation Security Administration, l'agence nationale de sécurité dans les transports, pour obliger les propriétaires et opérateurs d'oléoducs à se plier à des standards de sécurité plus exigeants, définis par le gouvernement fédéral. L'Agence de protection de l'environnement des États-Unis vient de faire de même avec les conduites d'eau.
Depuis le début du mandat de Joe Biden, le FBI a également commencé à utiliser des mandats de perquisition pour trouver et démanteler des fragments de code malicieux repérés sur les réseaux d'entreprises, ainsi qu'à pirater les groupes de rançongiciels pour s'emparer des codes permettant aux entreprises de décrypter les logiciels malveillants utilisés contre elles et ainsi désamorcer les demandes de rançon.
Les aspects les plus ambitieux de cette nouvelle stratégie, comme le fait d'engager la responsabilité des fournisseurs de logiciel en cas de cyberattaques, passeront toutefois nécessairement par une réforme législative, ce qui s'annonce difficile à l'heure où la moitié du Congrès est sous contrôle républicain. Si la cybersécurité peut constituer un sujet bipartisan, les élus du Grand Old Party seront sans doute réticents à l'idée d'imposer davantage de contrôle aux entreprises privées.
La géopolitique comme principal obstacle
Pour Joseph Steinberg, la feuille de route manque en outre partiellement son but en laissant de côté plusieurs points qui constituent selon lui les enjeux majeurs auxquels doit aujourd'hui répondre une politique de cybersécurité. « D'abord, la mise en place des mécanismes susceptibles de former beaucoup plus d'Américains à la cybersécurité, en commençant dès le plus jeune âge. Ensuite, empêcher matériel et logiciel sous l'influence d'éléments hostiles, comme la Chine, d'opérer sur les réseaux américains. Enfin, créer un cadre solide, clair et unifié. Aujourd'hui, il y a tellement de standards et de règles différents qu'il n'y en a effectivement aucun », déplore-t-il.
Depuis George W. Bush, qui inaugure la tendance en 2008, il est d'usage que chaque président américain définisse une nouvelle stratégie en matière de cybersécurité durant son mandat. Celle de l'administration Trump avait placé la géopolitique au cœur de la problématique cybersécuritaire, soulignant notamment le risque que posait la domination de Huawei sur la 5G. Par rapport à la stratégie précédente, la feuille de route de l'administration Biden insiste davantage sur la nécessité d'imposer de nouvelles règles aux entreprises privées, par opposition au laissez-faire que privilégient les républicains sur le marché intérieur.
En revanche, elle s'inscrit dans la droite ligne des constats dressés par l'administration Trump en matière de géopolitique, qui demeure le principal obstacle auquel se heurte la stratégie cyber américaine. Après l'attaque sur Colonial Pipeline en 2021, Joe Biden a ainsi tenté d'obtenir de Vladimir Poutine qu'il sévisse contre les hackers opérant depuis la Russie, mais tout espoir de coopération en la matière s'est effondré avec l'invasion de l'Ukraine. Le contexte de fortes tensions avec la Chine et la Russie offre ainsi un terreau favorable aux cybercriminels et rend d'autant plus nécessaire l'adoption d'une stratégie solide en matière de cybersécurité.
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !